自从重新安装我们的域控制器(Windows Server 2008R2)并重新创建所有组策略以来,我偶然发现了一个奇怪的问题。
当用户登录后不上网时,他们的 javascript 会被禁用,因为安全区域被设置为高。然后用户必须将区域重置为默认安全级别,然后刷新页面。他们几乎每次加载 IE 时都需要这样做。
我在通过 GPO 强制执行安全区域设置之前设置了一个 DC,我记得 IE 不允许用户将区域重置为默认值。再加上我还没有在任何新 GPO 上设置任何安全区域选项,我得出的结论是,也许我需要通过 GPO 明确将安全设置设置为默认值?
有办法吗?也许使用 GP 首选项?所有工作站至少运行 IE7 和 Windows XP Pro SP3。
为了帮助解释问题,这是用于重置安全设置的屏幕:
答案1
为什么不使用 IE 管理模板来根据需要设置区域安全性?
- 创建一个新的 GPO 并将其链接到用户将获取它的级别/OU。
- 浏览 GPO 内的用户配置\策略\管理模板\Windows 组件\Internet Explorer\Internet 控制面板\安全页面。
- 选择每个区域(例如条目“Internet 区域模板”)并将区域的安全性重置为所需级别(“例如,中等”)。这将为该区域配置 GPO 中的所有子条目(例如,如果对 Internet 区域执行此操作,则在“用户配置\策略\管理模板\Windows 组件\Internet Explorer\Internet 控制面板\安全页\Internet 区域”处)
这里要记住的关键是 GPO 处理顺序。我不知道您是否在客户端执行过 gpresult,或者是否使用 GPMC 的“组策略结果”查看计算机上受影响用户的 RSOP 数据。这将显示对用户有效的所有组策略的综合净结果,并显示是否有任何 GPO 当前负责禁用 javascript。
如果您在任何其他现有 GPO 禁用 javascript 之前将您的策略链接到进程,上述操作将无济于事。您需要确保最后处理此 GPO。根据您是否使用环回策略(及其模式),这可能意味着链接到用户所在的路径或计算机所在的路径。